Contents
背景と全体像
Microsoft は 2023 年に Azure AD を Microsoft Entra ID に改称し、ID・アクセス管理を包括する「Entra」製品ファミリへ統合しました。名称変更は単なる表記の揃えではなく、今後提供される機能やサポート範囲が Entra ID 基準になることを意味します。本セクションでは、改称の目的と組織全体に与える影響を把握し、移行計画策定の出発点とします。
- 目的:Entra ID が提供する IAM 全体像を理解し、既存 Azure AD 環境とのギャップを明確化する。
- 結論:名称変更に合わせてライセンス・機能・エンドポイントの全体的な見直しを行うことが、安全かつスムーズな移行の第一歩です。
名称変更の目的
Entra ID は Azure AD のコア機能に加えて、Permissions Management、Entitlement Management など新しいガバナンスサービスを統合しています。これにより、単一テナントでアイデンティティ・アクセス・権限管理が完結するプラットフォームへと進化しました。
| 項目 | Azure AD(旧) | Entra ID(新) |
|---|---|---|
| 製品ファミリ | Azure サービスの一部 | Entra ファミリ全体に統合 |
| ポータル URL | portal.azure.com |
entra.microsoft.com |
| API エンドポイント | graph.windows.net(旧) |
graph.microsoft.com/v1.0 |
| ライセンス表記 | Azure AD Free / P1 / P2 等 | Entra ID Free / Premium P1 / P2 等 |
影響範囲の概要
- 機能:2024 年 10 月にリリースされた Permissions Management と Entitlement Management の UI が Entra ID コンソール専用になる。
- ライセンス:既存 Azure AD プランは自動的に引き継がれるが、Premium P2 以上でないと Conditional Access や Identity Protection が利用できません。
- 外部アプリ:SAML/SCIM エンドポイント URL が
login.microsoftonline.com→entra.microsoft.comに変更されるため、設定更新が必須です。
※本稿の情報は執筆時点(2024 年 11 月)で確認したものです。リリーススケジュールや機能詳細は Microsoft の公式サイトで随時更新されています。
移行前準備
ライセンス・プランの確認
まずはテナントが Entra ID に移行しても機能的に問題ないかをチェックします。以下の手順と判定基準に沿って、現在利用中のプランと必要な追加ライセンスを洗い出してください。
- Azure portal でプラン情報取得
Azure AD → ライセンス画面で Free / Basic / Premium P1 / P2 の状態を確認。 - Entra ID 互換性マトリクスの参照(※外部リンクは公式ドキュメント)
- URL: https://learn.microsoft.com/ja-jp/entra/fundamentals/licensing
- 機能要件とプランの照合
- Conditional Access、Identity Protection、Entitlement Management は Premium P2 が推奨。
| プラン | 主な利用可能機能 | 移行後の注意点 |
|---|---|---|
| Free | 基本的なユーザー管理 | 条件付きアクセスポリシーは使用不可 |
| Basic | グループベースのアクセス制御 | SAML アプリは引き続き利用可 |
| Premium P1 | 条件付きアクセス(限定) | Identity Protection が未提供 |
| Premium P2 | 全機能(Conditional Access、Identity Protection、Entitlement Management) | 推奨プラン |
ポイント:Premium P2 以上が確保できていれば、ほとんどの Entra ID 機能をそのまま利用できます。
サードパーティアプリケーション対応チェック
オンプレミス AD と連携中の SaaS 製品は認証エンドポイントや SCIM プロビジョニング設定が変更対象です。代表的な製品について、必ず 2 点(エンドポイント URL と API バージョン)を確認し、テスト環境で動作検証を行ってください。
| 製品 | 確認項目 | 推奨対応策 |
|---|---|---|
| SAP S/4HANA | SAML エンドポイント login.microsoftonline.com → entra.microsoft.com |
Entra ID 用メタデータを取得し、設定を上書き |
| Salesforce | 証明書有効期限、SCIM エンドポイント | 新規 Entra ID アプリ作成後、プロビジョニングマッピングを再構築 |
| ServiceNow | OAuth クライアント ID/シークレット | Entra ID で新規アプリ登録 → 同一スコープで設定 |
チェックリスト
- [ ] エンドポイント URL が最新か確認
- [ ] SCIM API バージョンがサポート対象か検証
- [ ] テストテナントで SSO 動作を 1 回以上実施
Entra Connect と Hybrid → Entra Join の移行フロー
Entra Connect バージョン確認とアップデート手順
Entra Connect(旧 Azure AD Connect) はオンプレミス AD と Entra ID を同期させる重要コンポーネントです。最新版(2024 年 11 月リリース、バージョン 2.1.44.0 以降)への更新は必須です。
| 手順 | 操作内容 |
|---|---|
| 1. 現行バージョン確認 | PowerShell: Get-ADSyncConnector | Select-Object -First 1 Version(最低 2.1.38.0 推奨) |
| 2. バックアップ取得 | Export-ADSyncConfig.ps1 で設定エクスポート、別サーバに復元テストを実施 |
| 3. 最新インストーラ入手 | Microsoft ダウンロードセンター → AzureADConnect.msi(最新版) |
| 4. アップグレード実行 | インストールウィザードで「アップグレード」モードを選択 |
| 5. 完全同期の実施 | PowerShell: Start-ADSyncSyncCycle -PolicyType Initial |
| 6. ログ検証 | Event Viewer → Microsoft‑Online Services → エラー・警告が無いことを確認 |
ポイント:アップデート後は必ず「完全同期」を走らせ、
dsregcmd /statusでテナント ID が正しく反映されているか確認してください。
同期ルールの最適化
- 不要属性(例:
extensionAttribute15)を除外し、ディレクトリサイズと同期時間を削減。 - OU ベースのフィルタリングで対象ユーザー・デバイスを明確にし、誤同期リスクを低減。
Hybrid Join から Entra Join への段階的移行
Hybrid Azure AD Join(ハイブリッド参加)はオンプレミス AD と Entra ID の二重登録です。名称変更に伴い Entra Join に統一します。以下は推奨するロールアウト手順です。
| フェーズ | 手順 | 重要ポイント |
|---|---|---|
| ① 前提確認 | OS バージョンが Windows 10 1903 以上、macOS 12+ かを確認 | 古い OS は Entra Join 非対応のため事前にアップデート |
| ② GPO 更新 | Computer Configuration → Policies → Windows Settings → Device Registration → Register domain‑joined computers as devices を有効化し対象 OU に適用 |
Intune へ移行済みの場合は「Intune デバイス登録ポリシー」へ切り替え |
| ③ Entra Connect 設定変更 | 「Configure device registration」ウィザードでテナント ID を再入力 | 古いテナント ID が残っていると失敗する |
| ④ デバイス再起動 & 自動登録 | 再起動後 dsregcmd /status で Device is AzureAD Joined = True を確認 |
初回登録に数分かかることがあるのでタイムアウト設定を緩めておく |
| ⑤ 検証 | Intune コンソール → デバイス一覧で「Entra Join」ステータスをチェック | 複数テナント環境では誤登録防止のためフィルタリングが必要 |
ロールアウト戦略:テスト OU(全端末の 10%)で実施し、問題が無ければ段階的に対象範囲を拡大。
GPO → Intune 移行チェックリスト
主なポリシー置き換えマトリクス
オンプレミスのグループポリシーは、Intune の「構成プロファイル」へ移行することでクラウドベース管理が実現します。以下に代表的な GPO と Intune での対応策を示します。
| GPO 項目 | Intune の対応プロファイル | 検証項目 |
|---|---|---|
| Windows Update 設定 | Update rings(デバイス構成) | 正しい更新スケジュールが配信されるか |
| BitLocker ポリシー | Endpoint security → Disk encryption | 暗号化状態と回復キーの保存先を確認 |
| パスワード・ロック画面 | Device configuration → Identity protection | パスワード複雑性、失敗回数が適用されているか |
| プリンタ自動展開 | PowerShell scripts(カスタム) | スクリプト実行ログにエラーが出ていないか |
移行チェックリスト(実施時に使用)
- [ ] 既存 GPO の一覧取得 (
gpresult /h gpo_report.html) - [ ] Intune に同等プロファイルを作成し、テストデバイスで適用確認
- [ ] Intune コンフリクトレポート をレビューして競合が無いか確認
- [ ] 対象 OS バージョン(Windows 10/11, macOS 12+)全てで正常に機能することを検証
検証フロー:テストスコープとログ取得
- テスト対象の設定
- デバイス 50 台(Windows 10/11、macOS 13、iOS 17)+ユーザー 100 アカウントを選定。
- ログ収集
- Windows:
Event Viewer → Microsoft → Windows → DeviceManagement-Enterprise-Diagnostics-Providerの ID 3000 系列 - Intune ポータルの「診断」タブでデバイスごとのエラーコードを取得
- 成功基準
- 適用率 ≥ 95%(残りは再試行または手動介入)
- 自動化スクリプト(例: PowerShell + Graph API)で 1 日 1 回レポートを生成し、Teams に通知
ポイント:自動化により障害発生時の検知が早まり、ロールバックや追加対応が迅速に行えます。
移行後の運用とドキュメント整備
スクリプト・URL の一括更新手順
名称変更に伴い、社内マニュアル・自動化スクリプト・CI/CD パイプラインの文字列を統一します。
| 項目 | 旧表記 | 新表記 | 更新方法 |
|---|---|---|---|
| ポータル URL | portal.azure.com/.../ActiveDirectoryMenuBlade |
entra.microsoft.com |
PowerShell: Get-Content -Raw *.ps1 | Replace... | Set-Content |
| Graph API エンドポイント | graph.windows.net |
graph.microsoft.com/v1.0 |
Azure CLI スクリプトの変数を書き換え |
| テナント名・タグ | AzureAD → EntraID |
コメント・ログに統一 | 社内 Wiki の検索置換ツールで一括更新 |
更新チェックリスト
- [ ] 全社 Wiki の「Azure AD」ページをキーワード置換(
Ctrl+F+ 正規表現) - [ ] Terraform / ARM テンプレートのテナント ID 参照箇所を
EntraIDに変更 - [ ] スクリプト実行前に
-WhatIfオプションで置換結果を確認
監査・レポート自動化
移行完了後はコンプライアンスとセキュリティの観点から定期的な監査が必要です。以下の手順で自動化パイプラインを構築します。
- 監査対象データ取得
- Azure AD audit logs → PowerShell
Get-AzureADAuditDirectoryLogs - デバイス登録ステータス(Entra Join / Hybrid Join) → Graph API
/devicesクエリ - Power BI レポート作成
- シート1: 「ユーザー・デバイス状態サマリ」 – Entra Join 完了率 100% を目標に表示
- シート2: 「ライセンス使用状況」 – Premium P2 利用率 ≥ 80% の可視化
- 自動配信
- Azure Logic Apps → Power BI データセットを CSV にエクスポート、Teams/メールへ週次送付
ポイント:レポートは「最新データ 24h 前」まで遅延が無いように設定し、異常検知時は即座にアラートを上げられるようにします。
ロールバック計画と障害対応フロー
万が一移行中に重大障害が発生した場合に備え、以下のロールバック手順を事前に文書化しておきます。
| シナリオ | 対応ステップ |
|---|---|
| Entra Connect 同期エラーで属性欠損 | 1. Export-ADSyncConfig.ps1 バックアップから復元 2. 前バージョンにロールバックし、手動同期 ( Start-ADSyncSyncCycle -PolicyType Delta) を実行 |
| Entra Join 失敗で業務アプリが利用不可 | 1. GPO の Hybrid Join 設定を一時的に再有効化 2. デバイスで dsregcmd /join を手動実行し、正常化確認 |
| サードパーティ SSO 認証エラー | 1. Azure AD アプリの Enterprise Application 設定を旧エンドポイントに戻す 2. テストユーザーで動作検証後、本番切り替え |
緊急連絡先(社内 Wiki に掲載)
- プロジェクトマネージャー:xxx@company.com
- Azure サポート(Microsoft):+81‑3‑xxxx‑xxxx
- IT セキュリティチーム:security@company.com
総合チェックリスト(移行完了までのロードマップ)
| フェーズ | 主な作業項目 | 完了判定 |
|---|---|---|
| 1. 計画策定 | 目的・スコープ定義、ステークホルダー合意 | ✔︎ |
| 2. ライセンス確認 | 現行プラン把握、Premium P2 必要性判定 | ✔︎ |
| 3. サードパーティ対応 | エンドポイント/SCIM 更新、テスト実施 | ✔︎ |
| 4. Entra Connect 更新 | バックアップ取得 → 最新版インストール → 完全同期 | ✔︎ |
| 5. Hybrid→Entra Join 移行 | GPO 更新 → デバイス再起動 → 状態確認 | ✔︎ |
| 6. GPO→Intune 置き換え | プロファイル作成 → テストデバイスで適用 → コンフリクト解消 | ✔︎ |
| 7. 検証・自動化 | ログ取得、成功率 ≥ 95% の検証、自動レポート構築 | ✔︎ |
| 8. ドキュメント・スクリプト更新 | URL/タグ一括置換 → 変更レビュー | ✔︎ |
| 9. 監査・運用体制整備 | 定期レポート自動配信、ロールバック手順周知 | ✔︎ |
| 10. 本番切替 & フォローアップ | 全社展開 → 1 か月間のモニタリング → 改善サイクル開始 | ✔︎ |
まとめ
- 名称変更は単なるリブランディングではなく、Entra ID が提供する包括的 IAM プラットフォームへの統合を意味します。 ライセンス・機能・エンドポイントの全体像を把握し、チェックリスト化した上で段階的に移行を進めることが成功の鍵です。
- 事前準備(ライセンス・サードパーティ確認)→ 基盤アップデート(Entra Connect)→ デバイス参加形態変更(Hybrid → Entra Join)→ ポリシー統合(GPO → Intune) のフローを順守し、各フェーズで必ず テスト・ログ検証 を行いましょう。
- 移行後は ドキュメントの一括更新、監査レポート自動化、ロールバック手順の整備 に注力し、運用リスクを最小限に抑えます。
本ガイドのチェックリストとフローを活用すれば、Microsoft Entra ID への移行プロジェクトを安全・確実に完了させることができます。
※ 本稿は2024 年 11 月時点の情報に基づいています。最新リリースや機能追加については公式サイト(Microsoft Entra Documentation)をご確認ください。